A ferramenta de Sniffer Wireshark é um software analisador de protocolos bastante usado por administradores de rede para detectar problemas ou conexões suspeitas, testar se as senhas usadas na rede estão realmente sendo criptografadas, permitindo que você capture e navegue interativamente no tráfego de redes.
É um software que pode ser utilizado para estudar e entender melhor a comunicação de redes, servindo de monitoramento no seu dia a dia.
Lembrando que, as informações sem criptografia são capturadas na íntegra, por isso utilize-a de forma ética, sem espionar dispositivos alheios.
NOTA: Serve tanto para usuários Linux quanto Windows. A interface é a mesma.
DOWNLOAD E INSTALAÇÃO
Na página https://www.wireshark.org/#download, você consegue fazer o download de acordo com a versão do seu sistema operacional. A opção Source Code baixa o arquivo Tarball para Linux.
Durante a instalação será necessário instalar também o Npcap, substituto do Wincap (descontinuado), que serve para colocar a placa de rede em modo promíscuo, também o USBPcap em caso de utilizar dispositivos USB, mas tudo isso já vem embutido no software de instalação que você baixou.
No Linux Ubuntu se houver problema para encontrar as interfaces para captura siga os passos abaixo para corrigir o problema:
$ sudo apt-get install wireshark
$ sudo dpkg-reconfigure wireshark-common
$ sudo usermod -a -G wireshark $USER
$ sudo reboot
Se a solução não funcionar uma alternativa é setar o bit setuid para o dumpcap:
$ sudo chmod 4711 `which dumpcap`
NOTA: No Kali Linux, para executar o programa, clique no menu Aplicativos > Sniffing e Spoofing > Wireshark.
WIRESHARK GUI
Uma vez instalado o Wireshark na máquina, você deve abrir sua interface gráfica para visualizar o dashboard com o resumo das informações.
Note que na parte superior direita tem um botão chamada “All Interfaces Shown” ou Todas as Interfaces Aparentes, a qual mostra os dispositivos e placas que você pode utilizar para capturar pacotes.
No lado esquerdo você tem as opções de captura ou “Capture Options“, onde você pode modificar e definir como a captura de pacotes da rede será realizada. Veja a tela abaixo com as informações discutidas até o momento.
IMAGEM: Do Autor
WIRESHARK INTERFACE
Vamos agora dar um zoom na lista de interfaces (All Interfaces Shown) onde temos a lista dos tipos de dispositivos que estão transmitindo e recebendo pacotes e podem ser utilizados para realizar capturas.
IMAGEM: Do Autor
No Windows após selecionar o tipo de interface, vai aparecer o nome da interface que é mostrado nas conexões de rede do painel de controle.
No Linux se não aparecer nenhuma interface nessa lista faça os passos passados no tópico de Download e Instalação do Wireshark.
CAPTURANDO PACOTES NO COMPUTADOR
Para escolher a interface que você deseja capturar você pode simplesmente selecioná-la na lista de interfaces com dois cliques. Ou então, clicando no ícone Start na barra de ferramentas.
Por padrão, o Wireshark vai fazer as capturas dos pacotes na interface escolhida em modo promíscuo, ou seja, todos os pacotes passando pela interface serão capturados não importando se são ou não para o seu host.
IMAGEM: Do Autor
Ao clicar em start você vai cair na tela das capturas em tempo real.
Se você clicar na opção “Capture Options” pode alterar as opções de captura, porém não recomendo nesse momento que você faça isso.
IMAGEM: Do Autor
PAINEL DE CAPTURAS
Ao clicar em Start (ou iniciar a captura) você vai cair nessa tela e as coisas podem ficar confusas, mas não se preocupe. Veja a imagem abaixo e vou explicar na sequência.
IMAGEM: Do Autor
Os pacotes são capturados em tempo real, por isso, se a comunicação na sua placa de rede for intensa essa tela vai ser atualizada com novas entradas constantemente no campo “Pacotes Capturados”.
Você pode selecionar um pacote e verificar os detalhes dele no campo logo abaixo. Clicando no sinal (>) na esquerda de cada detalhe do pacote recebido você pode ver opções específicas dele, as quais são mostradas também no conteúdo do pacote.
Note que o pacote que estou mostrando os detalhes é o 14612. Veja que na linha o wireshark mostra que ele foi o 14.612º pacote capturado, quando ele foi capturado (time), IPs de origem (Source) e destino (Destination), o protocolo que está sendo transmitido (Protocol), o tamanho do pacote (Lenght) e uma informação resumida sobre conteúdo (Info) do pacote.
Todas essas informações podem ser utilizadas como Filtro para refinar a captura e você visualizar apenas o que interessa.
Você vai notar também que os pacotes podem ser exibidos com diferentes cores nesse painel, ou seja, destacados em verde, azul, preto, ect. O Wireshark usa cores para ajudar a identificar os tipos de tráfego, sendo que por padrão o verde é o tráfego TCP, azul escuro é o tráfego DNS, azul claro é o tráfego UDP e preto identifica os pacotes TCP com problemas, por exemplo, pacotes entregues fora de ordem. Nesses exemplos, como foi instalado em uma máquina Kali Linux, essa configuração deixei desativada.
Por último, marcado em vermelho temos a opção de parar a captura, onde você pode escolher salvar para analisá-la posteriormente ou sair e não salvar clicando no “X” que fica alguns ícones a direita. Você pode capturar pacotes para analisar em outro momento sem problemas, basta salvar em uma pasta e abrir mais tarde no próprio wireshark.
Na próxima postagem, estarei dando andamento a parte 2 desse tutorial.
Douglas Mendes 
2 comentários em “COMO USAR O WIRESHARK PELA PRIMEIRA VEZ (pt. 1)”